Benutzeraccounts aus Microsoft Entra ID mit Apple Business Manager synchronisieren
Du kannst mithilfe von OpenID Connect (OIDC) Benutzeraccounts mit Apple Business Manager synchronisieren. Mithilfe dieses Systems kannst du Eigenschaften von Apple Business Manager (z. B. Funktionen) mit importierten Benutzer-Account-Daten aus Microsoft Entra ID hinzufügen. Wenn du Benutzeraccounts per OIDC synchronisierst, werden die Accountinformationen schreibgeschützt hinzugefügt, bis du die Verbindung zu Microsoft Entra ID trennst. Die Benutzeraccounts werden dann zu manuellen Accounts und Attribute darin können bearbeitet werden.
Erste Schritte
Führe folgende Schritte aus, bevor du eine Synchronisierung mit Microsoft Entra ID über eine OIDC-Verbindung durchführst:
Konfiguriere und verifiziere falls nötig die gewünschte Domain. Siehe Eine Domain hinzufügen und bestätigen. Wenn du die Domain, die du mit Google Workspace verbinden möchtest, bereits verifiziert hast, kannst du diesen Vorgang überspringen.
Konfigurieren, Verknüpfen und Aktivieren einer Domain. Siehe Verknüpfte Authentifizierung mit Microsoft Entra ID verwenden.
Bei der Konfiguration der Verbindung solltest du die E-Mail-Adresse eines:einer Benutzer:in mit der Funktion „Administrator:in“ oder „Personenmanager:in“ verwenden, damit diese:r Benachrichtigungen von Microsoft Entra D erhalten kann.
Wende dich telefonisch an eine:n globale:n Microsoft Entra ID-Administrator:in mit der Befugnis, Microsoft Entra ID-Einstellungen zu bearbeiten.
Microsoft Entra ID-Benutzeraccounts in Apple Business Manager
Wenn ein Benutzeraccount aus Microsoft Entra ID mithilfe von OIDC mit Apple Business Manager synchronisiert wird, hat er:sie standardmäßig die Funktion „Mitarbeiter:in“. Nach der Synchronisierung kann nur das Benutzeraccountattribut „Funktionen“ bearbeitet werden. Dieses Attribut wird im Benutzeraccount in Apple Business Manager gespeichert und nicht auf Microsoft Entra ID zurückübertragen.
Wichtig: Verwende einen Benutzernamen innerhalb von 30 Tagen nicht erneut in der Entra ID-App von Apple Business Manager.
Anmeldeattribut
Apple Business Manager erfordert, dass das Attribut für den verwalteten Apple Account eindeutig ist. Hierbei handelt es sich in der Regel um die E-Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple Business Manager übereinstimmt, der:die die Funktion „Administrator:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Benutzerprinzipalname
Wenn ein Benutzeraccount einen Benutzerprinzipalnamen (UPN) hat, der exakt mit dem eines bestehenden Benutzeraccounts übereinstimmt, der:die die Funktion „Administrator:in“ oder „Personenmanager:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Personen-ID
Wenn ein Microsoft Entra ID-Benutzeraccount mit Apple Business Manager synchronisiert wird, wird eine Personen-ID für den Apple Business Manager-Benutzeraccount erstellt. Die Personen-ID wird zur Ermittlung von in Konflikt stehenden Benutzeraccounts verwendet.
Wichtige Aspekte, die bei Änderung der Personen-ID berücksichtigt werden müssen:
Wenn du die Personen-ID eines Benutzeraccounts änderst, der zuvor aus Microsoft Entra ID importiert wurde, ist dieser Benutzeraccount nicht mehr mit Microsoft Entra ID gekoppelt.
Wenn du die Personen-ID eines Benutzeraccounts änderst, der zuvor aus Microsoft Entra ID importiert wurde, und diesen Benutzeraccount wieder verbinden möchtest, siehe Microsoft Entra ID-OIDC-Benutzerkontenkonflikte beheben.
Microsoft Entra ID-Mandanten
Um OIDC mit Apple Business Manager nutzen zu können, muss deine Organisation einen anderen Entra ID-Mandanten haben als andere Apple Business Manager-Organisationen. Wenn du OIDC in deiner Organisation verwenden möchtest, wende dich an deine:n globale:n Microsoft Entra ID-Administrator:in, um sicherzustellen, dass keine andere Organisation deinen Entra ID-Mandanten für OIDC nutzt.
Microsoft Entra ID-Gruppen
In Microsoft Entra ID kannst du über die Benutzeroberfläche Gruppenaccounts synchronisieren, aber nur Benutzeraccounts innerhalb dieser Gruppen werden für die Synchronisierung unterstützt.
Wenn du einen Gruppenaccount in Microsoft Entra ID konfiguriert hast, kannst du diese Gruppe zur Entra ID-App von Apple Business Manager hinzufügen, anstatt einzelne Benutzer:innen hinzuzufügen.
Hinweis: Untergruppen werden von der Entra ID-App von Apple Business Manager nicht unterstützt.
OIDC-Benutzerattributzuordnung
Wenn ein Benutzeraccount mithilfe von OIDC von Microsoft Entra ID mit Apple Business Manager synchronisiert wird, werden folgende Benutzerattribute schreibgeschützt gespeichert. In der Tabelle ist auch gekennzeichnet, ob ein Benutzerattribut erforderlich ist.
Wichtig: Das Hinzufügen von Attributen, die nicht in der Tabelle stehen, könnte die OIDC-Verbindung unterbrechen.
Microsoft Entra ID-Benutzerattribut | Benutzerattribut in Apple Business Manager | Erforderlich |
---|---|---|
givenName | Vorname | |
Nachname | Nachname | |
userPrincipalName | Verwalteter Apple Account und E-Mail Adresse | |
objectId | (Wird nicht in Apple Business Manager angezeigt. Dieses Attribut wird zur Ermittlung von in Konflikt stehenden Accounts verwendet.) | |
Abteilung | Abteilung | |
Mitarbeiter-ID | Personennummer | |
employeeOrgData.costCenter | Kostenstelle | |
employeeOrgData.division | Unternehmensbereich |
Microsoft Entra Connect Sync aktivieren
Melde dich bei Apple Business Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann Verwaltete Apple Accounts aus.
Aktiviere Microsoft Entra Connect Sync und wähle „Jetzt synchronisieren“.
Manuelle Synchronisation
Du kannst Apple Business Manager manuell mit Microsoft Entra ID synchronisieren, um etwaige Änderungen in Microsoft Entra ID zu importieren.
Melde dich bei Apple Business Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann Verwaltete Apple Accounts aus.
Wähle unter Microsoft Entra ID „Jetzt synchronisieren“.